Összefoglaló
Egy biztonsági rést jelentettek a Drupal rendszerben, melyet kihasználva jogosulatlan felhasználók kiemelt jogosultságokkal hajthatnak végre műveleteket.
Leírás
Egy biztonsági rést jelentettek a Drupal rendszerben, melyet kihasználva jogosulatlan felhasználók kiemelt jogosultságokkal hajthatnak végre műveleteket.
A sérülékenységet az okozza, hogy a “Content Construction Kit” (CCK) és más CCK modulok kiterjesztik az “administer content types” (tartalom kezelés) engedélyt. Ennek eredményeképpen az “administer content types” engedély hasonlatos lesz az “administer site configuration” (oldal beállítás) engedélyhez.
Megoldás
Csak a megbízható felhasználóknak adjon “administer content types” engedélyt!
Támadás típusa
Authentication Issues (Hitelesítés)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
SECUNIA:http://secunia.com/advisories/33898/
Gyártói referencia: drupal.org